Im Rechtstreit zwischen der Datenschutzbehörde ULD und der IHK-Wirtschaftsakademie Schleswig-Holstein um die Bereitstellung einer Facebook-Seite hat der EuGH entschieden, dass für den Datenschutz auf der Plattform von Facebook, Facebook selbst und der Betreiber der Fanpage gemeinsam verantwortlich für den Schutz der Nutzerdaten sind. Das Urteil hat auch Konsequenzen für andere Plattformen und Plattform-Nutzer.
Viele Unternehmen und Freiberufler werben auf Facebook für ihre Leistungen. Auch sie sind nun davon betroffen, dass der laxe Umgang mit Nutzerdaten auf Facebook-Seiten für Datenschutzbehörden schon seit langem ein rotes Tuch ist. Für Facebook-Datenschutzverstöße an Nutzerdaten gilt für sie nun laut EuGH-Entscheidung vom 5.6.2018: Mitgegangen, mitgefangen.
EUGH entscheidet zu langjährigem Rechtsstreit
Vor mittlerweile fast sieben Jahren hatte sich etwa das Unabhängige Landeszentrum für Datenschutz Schleswig-Holstein unter dem damaligen Leiter Thilo Weichert nicht nur gegen Facebook selbst gewandt, sondern wollte auch kommerzielle Anbieter dazu bringen, ihre Facebook-Aktivitäten aufgrund der Unzulänglichkeiten einzustellen.
Klage gegen Facebook-Auftritt wegen mangelhafter Dateenschutzerklärung
Exemplarisch verklagte das ULD daher die IHK-Wirtschaftsakademie als Betreiberin einer Facebook-Fanpage.
- Die Klage richtete sich dagegen, dass weder Facebook noch die Wirtschaftsakademie die Besucher dieser Facebook-Seite in ausreichendem Maße über die hierbei erhobenen personenbezogenen Daten informierten.
- So sammelt Facebook etwa über Cookies umfangreiche Nutzerdaten, die dann den Fanpage-Betreibern zur statistischen Auswertung überlassen werden.
- Ohne die entsprechende Aufklärung über die Datensammlung sei dies jedoch unzulässig. Der Betrieb der Facebook-Fanpage sollte daher auf Anordnung der Datenschutzbehörde eingestellt werden.
BVerwG legte Grundsatzfrage zum Nutzerdatenschutz dem EuGH vor
Gegen diese Anordnung wehrte sich die Wirtschaftsakademie jedoch und konnte sich in allen bisherigen Instanzen vor den deutschen Gerichten auch durchsetzen. Das Bundesverwaltungsgericht hatte sich dann aber aufgrund des Grundsatzcharakters an den EuGH gewandt, der nun jedoch etwas überraschend entschied, dass der Betreiber einer solchen Fanpage zusammen mit Facebook als gemeinsam Verantwortlicher anzusehen ist.
Auch Fanpage-Betreiber haben Einfluss auf Datenauswertung
Seine Entscheidung begründet der EuGH u.a. damit, dass die Betreiber einer Facebook-Fanpage über das Ausmaß und Mittel der Datenverarbeitung mitentscheiden können. So sei festzustellen, dass
„der Betreiber einer auf Facebook unterhaltenen Fanpage […] durch die von ihm vorgenommene Parametrierung u. a. entsprechend seinem Zielpublikum sowie den Zielen der Steuerung oder Förderung seiner Tätigkeiten an der Entscheidung über die Zwecke und Mittel der Verarbeitung der personenbezogenen Daten der Besucher seiner Fanpage beteiligt ist.“
Zugleich betonten die Richter allerdings auch, dass in erster Linie Facebook als Plattform-Betreiber in der Verantwortung stehe. Auch eine „gemeinsame“ Verantwortung bedeute nicht, dass diese im Verhältnis 50:50 aufgeteilt werden müsse.
Auch durch DSGVO keine Änderung
Das EuGH-Urteil basiert zwar noch auf den Vorgaben der alten europäischen Datenschutzrichtlinie von 1995, allerdings gibt es im Hinblick auf die Definition des Verantwortlichen für den Datenschutz in der neuen DSGVO, die vor einigen Tagen in Kraft getreten ist, kein nennenswerten Unterschiede, sodass dieses Urteil auch nach dem neuen Recht zu beachten ist.
Konsequenzen kaum absehbar
Auch wenn Facebook-Fanpage-Betreiber nach diesem Grundsatzurteil nun nicht mehr die gesamte Verantwortung für den Datenschutz auf Facebook abwälzen können, bleibt für die Praxis zunächst einmal weitgehend unklar, was es für konkrete Folgen gibt. Ungeklärt ist etwa, ob die Facebook-Seiten inhaltlich gegen das Datenschutzrecht verstoßen.
- Der Fall geht nach der EuGH-Entscheidung nun zurück an das Bundesverwaltungsgericht, wo dann auch darüber entschieden werden wird, ob solche inhaltlichen Verstöße vorliegen. Bis zu einem Urteil dürften daher noch etliche Monate vergehen.
- Abzuwarten ist auch, wie Facebook auf das Urteil reagieren wird und ob es beispielsweise Standard-Hinweistexte zur Datenerhebung und Verarbeitung für solche Facebook-Seiten geben wird.
- Möglicherweise hat das Urteil auch Folgen für andere Plattformen im Internet, für die dann ebenfalls gelten könnte, dass die hier aktiven Unternehmen die Datenschutzverantwortung nicht einfach auf die Plattform-Betreiber abwälzen können, sondern ebenfalls verantwortlich gemacht werden können.
(EuGH, Rechtssache C- 210/16 v. 5.6.2018).
Hintergrund:
Als Konsequenz empfieht z.B. der Bayerische Landesbeauftragte für den Datenschutz Thomas Petri bayerischen Behörden und öffentlichen ihre Öffentlichkeitsarbeit in Social Media zu überprüfen.
"Entweder müssen Soziale Medien sich an die in Europa geltenden Datenschutzvorschriften halten oder sie können nicht mitverantwortlich genutzt werden. Mögliche Vorteile bei der Öffentlichkeitsarbeit rechtfertigen jedenfalls keine Datenschutzverstöße."
Weitere News zum Thema:
Diese Sanktionen drohen nach der EU Datenschutzgrundverordnung